[ad_1]

Un Algérien de 24 ans arrêté en Thaïlande plus tôt cette année, soupçonné d’avoir co-développé et vendu le tristement célèbre SpyEye Le cheval de Troie bancaire a été extradé cette semaine vers les États-Unis, où il fait face à des accusations criminelles pour avoir prétendument détourné des comptes bancaires dans plus de 200 institutions financières.

Page de profil de Bx1 sur darkode.com

Hamza Bendellaj, qui, selon les autorités, a utilisé le surnom de « Bx1 » en ligne, est accusé d’exploiter un botnet alimenté par SpyEye, un cheval de Troie bancaire complexe qu’il aurait également vendu et aidé à développer. Bendelladj a été interpellé le 2 mai 2013 à Atlanta, où il est accusé d’avoir loué un serveur à une société Internet locale pour l’aider à gérer son botnet SpyEye.

Une copie expurgée de l’acte d’accusation (PDF) contre Bendelladj a été descellée cette semaine ; le document indique que Bendelladj a développé et personnalisé des composants de SpyEye qui ont aidé les clients à voler des informations d’identification bancaires en ligne et des fonds auprès de banques spécifiques.

Le gouvernement allègue qu’en tant que Bx1, Bendelladj était un membre actif de darkode.com, un forum clandestin sur la fraude dont j’ai parlé dans de nombreux articles sur ce blog. L’objectif principal de Bx1 dans la communauté était de vendre des « injections Web » – des modules complémentaires personnalisés pour SpyEye qui peuvent modifier l’apparence et la fonction des sites Web bancaires tels qu’ils sont affichés dans le navigateur Web d’une victime. Plus précisément, Bx1 a vendu un type d’injection Web appelée système de transfert automatisé ou ATS ; ce type de composant malveillant a été largement utilisé avec SpyEye – et avec son proche cousin le cheval de Troie ZeuS – pour automatiser silencieusement et de manière invisible l’exécution des virements bancaires quelques secondes seulement après que les propriétaires de PC infectés se sont connectés à leurs comptes bancaires.

« Zeus/SpyEYE/Ice9 ATS for Sale », a annoncé Bx1 dans un post sur le fil darkode.com daté du 16 janvier 2012 :

« Salut à tous. Je vends des ATS privés. Fonctionne et testé.

Nous avons IT / DE / AT / UK / US / CO / NL / FR / AU

Contactez-moi pour la banque.

peut développer l’ATS bancaire de votre choix.

Le gouvernement allègue que Bx1/Bendelladj a gagné des millions en vendant SpyEye, des composants SpyEye et en récoltant les données financières des victimes dans son propre botnet SpyEye. Mais les clients et associés de Bx1 sur darkode.com ont exprimé de sérieux doutes à propos de cette affirmation, notant que quelqu’un qui gagnait ce genre d’argent ne bavardait pas ou ne serait pas aussi ouvert sur ses activités que Bx1 l’était apparemment.

Darkode discute de l’arrestation de Symlink

Dans mon post précédent sur Bx1, j’ai noté qu’il m’a contacté à plusieurs reprises pour se vanter de son botnet et partager des informations sur ses activités illicites. Dans un cas, il a même raconté une histoire sur l’intrusion dans les réseaux d’un développeur rival d’ATS / Web Inject nommé Lien symbolique. Bx1 a déclaré qu’il avait dit à Symlink de s’attendre à une visite des flics locaux s’il ne payait pas Bx1 pour qu’il se taise. Il n’est pas clair si cette histoire est vraie ou si Symlink a déjà payé l’argent; en tout cas, Symlink a été arrêté pour cybercriminalité en octobre 2012 par les autorités moldaves.

Les parties expurgées de l’acte d’accusation du gouvernement contre Bendelladj sont toutes des références au partenaire de Bx1 – l’auteur du cheval de Troie SpyEye et un développeur de logiciels malveillants connu dans la clandestinité alternativement sous le nom de « Gribodemon » et « Harderman ». Lors d’une conférence téléphonique avec des journalistes aujourd’hui, L’avocate américaine Sally Quillian Yates a déclaré que le vrai nom de l’auteur principal de SpyEye avait été supprimé de l’acte d’accusation car il n’avait pas encore été arrêté.

Fait intéressant, plusieurs longs fils de discussion sur darkode.com montrent que Bx1 lui-même a tenté d’avertir les autres membres du forum qu’il avait été approché par des personnes travaillant pour le FBI ou agissant comme intermédiaires pour les forces de l’ordre fédérales américaines.

Dans un autre fil publié le 21 janvier 2011 et intitulé « Feds, Feds, Feds », Bx1 colle un extrait d’une conversation en ligne avec un intrus qui se décrit comme un courtier en informations qui cherche des indices sur l’identité de Gribodemon et un pirate qui s’appelait « jam3s » et qui est soupçonné d’avoir divulgué le code source au cheval de Troie ZeuS. Dans ce fil, Bx1 exhorte les autres membres du forum à « doubler le cryptage » de leurs disques durs d’ordinateur et à « prendre contact avec un bon avocat ». La plupart des membres du forum rejettent simplement Bx1 comme étant paranoïaque.

Le 29 novembre, Bx1 a publié un fil de discussion urgent sur darkode.com intitulé « Le FBI est après certains membres ».

« J’ai parlé aujourd’hui avec un ami travaillant au FBI. il a dit qu’il y avait une opération pour trouver des hackers, nous avons parlé profondément et il a mentionné darkode. alors les gars, soyez prudents. [see screen shot below]

S’il est reconnu coupable, Bendelladj encourt une peine maximale de 30 ans de prison pour complot en vue de commettre une fraude électronique et bancaire, ainsi que des peines de cinq à 20 ans pour des accusations connexes. Il risque également des amendes pouvant atteindre 14 millions de dollars.

Moins d'un mois avant son arrestation, Bx1 tente d'avertir les autres membres de darkode.com de l'intérêt du FBI.

Moins d’un mois avant son arrestation, Bx1 tente d’avertir les autres membres de darkode.com de l’intérêt du FBI.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *